您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關PHP開發(fā)api接口安全驗證操作的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
本文實例講述了PHP開發(fā)api接口安全驗證操作.分享給大家供大家參考,具體如下:
在PHP的開發(fā)工作中,對API接口開發(fā)不會陌生,后端人員寫好接口后,前臺就可以通過鏈接獲取接口提供的數(shù)據(jù),而返回的數(shù)據(jù)一般分為兩種情況,xml和json, 在這個過程中,服務器并不知道,請求的來源是什么,有可能是別人非法調(diào)用我們的接口,獲取數(shù)據(jù),因此就要使用安全驗證來屏蔽某些調(diào)用。
驗證原理示意圖
原理
從圖中可以看得很清楚,前臺想要調(diào)用接口,需要使用幾個參數(shù)生成簽名。
● 時間戳:當前時間
● 隨機數(shù):隨機生成的隨機數(shù)
● 口令:前后臺開發(fā)時,一個雙方都知道的標識,相當于暗號
● 算法規(guī)則:商定好的運算規(guī)則,上面三個參數(shù)可以利用算法規(guī)則生成一個簽名。
前臺生成一個簽名,當需要訪問接口的時候,把時間戳,隨機數(shù),簽名三個參數(shù)通過URL傳遞到后臺。后臺拿到時間戳,隨機數(shù)后,通過一樣的算法規(guī)則計算出簽名,然后和傳遞過來的簽名進行對比,一樣的話,返回數(shù)據(jù)。
算法規(guī)則
在前后臺交互中,算法規(guī)則是非常重要的,前后臺都要通過算法規(guī)則計算出簽名,至于規(guī)則怎么制定,前后端協(xié)商確定。
我這個算法規(guī)則是
● 時間戳,隨機數(shù),口令按照首字母大小寫順序排序
● 然后拼接成字符串
● 進行sha1加密
● 再進行MD5加密
● 轉換成大寫。
前臺
這里我并沒有實際的前臺,直接使用一個PHP文件代替前臺,然后通過CURL模擬GET請求。我使用的是TP框架,URL格式是pathinfo格式。
源代碼
namespace app\service\controller; use think\controller; class CheckUrl extends Controller{ const TOKEN = 'API'; // 前后端統(tǒng)一的口令 //響應前臺的請求 public function respond(){ //驗證身份 $timeStamp = $_GET['t']; // 時間戳 $randomStr = $_GET['r']; // 隨機字符串 $signature = $_GET['s']; //簽名 $str = $this -> arithmetic($timeStamp, $randomStr); if($str != $signature){ return ['status' => 0, 'msg' => '驗證失敗', 'data' => []]; } } /** * @param $timeStamp 時間戳 * @param $randomStr 隨機字符串 * @return string 返回簽名 */ public function arithmetic($timeStamp, $randomStr){ $arr = [ 'timeStamp' => $timeStamp, 'randomStr' => $randomStr, 'token' => self::TOKEN ]; //按照首字母大小寫順序排序 sort($arr,SORT_STRING); //拼接成字符串 $str = implode($arr); //進行加密 $signature = sha1($str); $signature = md5($signature); //轉換成大寫 $signature = strtoupper($signature); return $signature; } }
這種方法只是其中的一種方法,其實還有很多方法都是可以進行安全驗證的。
這篇文章主要介紹了php token使用與驗證方法,通過對form表單hidden提交字段的處理實現(xiàn)token驗證功能,防止非法來源數(shù)據(jù)的訪問。
token功能簡述
PHP 使用token驗證可有效的防止非法來源數(shù)據(jù)提交訪問,增加數(shù)據(jù)操作的安全性
實現(xiàn)方法
前臺form表單:
<form action="do.php" method="POST"> <?php $module=mt_rand(100000,999999);?> <input type="text" name="sec_name" value=""/> // 實際要傳遞的值 <input type="hidden" name="module" value="<?php echo $module;?>"/> <input type="hidden" name="timestamp" value="<?php echo time();?>"/> <input type="hidden" name="token" value="<?php echo md5($module.'#$@%!^*'.time());?>"/> </form>
后臺do.php的token驗證部分:
$module = $_POST['module']; $timestamp = $_POST['timestamp']; $token = md5($module.'#$@%!^*'.$timestamp); if($token != $_POST['token']){ return ['status' => 0, 'msg' => '非法數(shù)據(jù)來源', 'data' => []]; } $sec_name=$_POST['sec_name']; //PHP數(shù)據(jù)處理.....
關于“PHP開發(fā)api接口安全驗證操作的示例分析”這篇文章就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內(nèi)容。